Le RGPD et le télétravail | Politique d'accès à distance du RGPD

Businesses with remote workforces must take extra steps to secure their data and manage employee access.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre l'impact du RGPD sur le télétravail
  • Découvrir ce que doit contenir une politique en matière d'accès à distance

Copier le lien de l'article

Qu'est-ce que le RGPD ?

The General Data Protection Regulation (GDPR) is a comprehensive data privacy law that establishes a framework for the collection, processing, storage, and transfer of personal data. It requires that all personal data be processed in a secure fashion, and it includes fines and penalties for businesses that do not comply with these requirements.

Il peut être difficile pour une entreprise de se conformer au RGPD, et le fait de recourir au télétravail implique des complications supplémentaires. Lorsque certains employés et sous-traitants d'une entreprise, voire tous, sont employés en télétravail, les équipes chargées des questions relatives à la protection des données en interne peuvent avoir moins de contrôle et de visibilité en ce qui concerne la sécurité des données. La mise en place de politiques de sécurité rigoureuses en matière d'accès à distance peut contribuer à protéger les données personnelles et confidentielles qui sont couvertes par le RGPD.

Qu'est-ce qu'une politique en matière d'accès à distance ?

Une politique en matière d'accès à distance est un ensemble de normes de sécurité applicables aux employés et aux appareils utilisés à distance. En général, c'est l'équipe informatique ou chargée de la sécurité des données d'une entreprise qui élabore la politique. L'utilisation de réseaux privés virtuels (VPN), l'installation de logiciels antivirus sur les appareils des employés et l'authentification multi-facteurs (MFA) sont autant d'exemples d'éléments qui peuvent être inclus dans une politique de sécurité en matière d'accès à distance.

Quelles sont les exigences du RGPD ?

The GDPR is a very broad set of regulations. Among other things, it requires several specific actions that data controllers and processors need to take. Some of these include:

  • Record keeping: Data processors must keep records of their processing activities.
  • Security measures: Data controllers and processors must regularly use and test appropriate security measures to protect the data they collect and process.
  • Data breach notification: Data controllers that suffer a personal data breach have to notify appropriate authorities within 72 hours, with some exceptions. Usually, they also have to notify the individuals whose personal data was affected by the breach.
  • Data Protection Officer (DPO): Companies that process data may need to hire a Data Protection Officer (DPO). The DPO leads and oversees all GDPR compliance efforts.

The full requirements for data controllers and processors are described in the GDPR.

Because data security is a primary concern under the GDPR, companies that allow their workers to work from home need to make sure they are taking the right steps to protect the data that their workers access remotely.

What should businesses with remote workforces do to ensure data security?

Ainsi, ce qui suit correspond à un aspect très important de toute politique d'accès à distance (liste non exhaustive) :

Protéger à la fois les données en transit et au repos.

Les données en transit sont des données qui circulent d'un point A à un point B. Il peut par exemple s'agir de données circulant entre une application SaaS et l'appareil d'un utilisateur. Les données au repos sont des données stockées, par exemple sur le disque dur de l'ordinateur portable de l'utilisateur. Dans les deux cas, les données doivent être sécurisées.

Le contrôle de l'accès et le chiffrement sont des technologies fondamentales en matière de protection des données. Comme tous les autres employés, les personnes travaillant à distance doivent avoir un motif valable pour accéder à des données personnelles, et leur accès à ces données doit être contrôlé. Les technologies de gestion de l'identité et des accès (IAM)

En outre, les données transitant via les réseaux, y compris sur Internet, doivent être chiffrées avec le protocole HTTPS, un VPN ou au moyen d'une autre méthode. (Les applications fonctionnant en cloud peuvent compliquer cette règle pour les employés travaillant à distance. Lisez cet article concernant les VPN d'entreprise pour en savoir plus.) En outre, les données doivent être chiffrées lorsqu'elles sont stockées ou « au repos » dans les serveurs et les disques durs. Pour y parvenir, les équipes informatiques doivent faire appliquer leurs politiques de sécurité pour assurer le chiffrement sur tous les appareils, même sur les appareils personnels des employés dans certains cas.

Protéger les postes de travail des employés.

Les postes de travail des employés travaillant à distance (ordinateurs portables, ordinateurs de bureau, smartphones, etc.) doivent être protégés contre les cyber-attaques, car toute infection par un logiciel malveillant peut entraîner une fuite de données. Les appareils doivent être dotés au minimum d'un logiciel antivirus. Une passerelle de sécurité Web peut également contribuer à protéger les employés lorsqu'ils naviguent sur Internet.

Toutefois, les pertes d'appareils sont encore plus fréquentes que les infections par des logiciels malveillants : les oubliés oublient parfois des ordinateurs portables ou des smartphones contenant des données confidentielles dans un lieu public. C'est également pour cela que le chiffrement des appareils est extrêmement important.

Se protéger contre les attaques par hameçonnage et autres formes de vol de compte.

Les attaques par hameçonnage demeurent l'une des principales sources de fuites de données. Une attaque par hameçonnage est une attaque qui consiste à amener par la ruse un utilisateur à communiquer ses informations de connexion, ce qui permet de lui voler son compte. Les conséquences d'un vol de compte peuvent être désastreuses pour une entreprise qui essaye de respecter la réglementation, car le pirate peut alors l'infiltrer et consulter, divulguer ou voler les données des clients.

Les attaques par force brute et ayant recours aux mots de passe les plus courants peuvent également aboutir à des vols de comptes, les entreprises doivent donc appliquer une politique stricte en matière de mots de passe. Personne ne doit pouvoir deviner le mot de passe d'un employé, et celui-ci doit pouvoir résister à la plupart des attaques menées par des bots. Dans la mesure du possible, les entreprises doivent instaurer un système de double authentification pour chaque application utilisée par l'entreprise.

Service commercial